Przetarg 12468518 - 1. Przedmiotem zamówienia jest „Usługa wykonania audytu...

ugi cyfrowe Działanie 2.2- Wzmocnienie krajowego systemu cyberbezpieczeństwa konkurs grantowy w ramach Projektu grantowego „Cyberbezpieczny Samorząd”Zamówienie obejmuje przeprowadzenie audytów systemu bezpieczeństwa informacji w 5 podmiotach: Urzędzie Miasta w Stalowej Woli Żłobku Miejskim Nr 3 w Stalowej Woli, Przedszkolu Nr 2 im. Jana Brzechwy w Stalowej Woli Przedszkolu Nr 5 im. Juliana Tuwima w Stalowej Woli Stalowowolskim Centrum Usług Wspólnychmi.in. w celu oceny skuteczności środków bezpieczeństwa oraz zarządzania ryzykiem;a) audytu wdrożonego w Jednostce systemu bezpieczeństwa informacji SZBI,b) analizę efektywności działań w zakresie monitorowania, pomiarów, analizy i oceny SZBI, w tym przegląd wskaźników ryzyka i zgodności.Zadanie jest dofinansowane w ramach Programu: Fundusze Europejskie na Rozwój Cyfrowy 2021-2027. Priorytet II: Zaawansowane usługi cyfrowe, Działanie 2.2 Wzmocnienie krajowego systemu cyberbezpieczeństwa.2. AUDYT POWINIEN OBEJMOWAĆ:a) Analiza wstępną i określenie zakresu audytu• Zdefiniowanie obszarów, lokalizacji oraz jednostek organizacyjnych objętych SZBI.• Weryfikacja ewidencji obszaru przetwarzania informacji, w tym dokładność danych dotyczących lokalizacji, kondygnacji i adresów.• Sprawdzenie, czy zakres SZBI jest zgodny z wymaganiami norm ISO/IEC 27001 oraz potrzebami organizacji.b) Weryfikacja dokumentacji systemowej• Wprowadzenie do SZBI: Ocena, czy dokumentacja zawiera podstawowe zasady zarządzania bezpieczeństwem informacji i zgodność z cyklem PDCA (Plan-Do-Check-Act).• Terminy i definicje: Sprawdzenie, czy wszystkie istotne pojęcia są zdefiniowane i zgodne z normami.• Kontekst organizacji: Analiza czynników wewnętrznych i zewnętrznych oraz ich wpływu na SZBI, w tym analiza ryzyk.c) Zarządzanie ryzykiem• Ocena procesu identyfikacji i analizy ryzyk, w tym dokumentacji dotyczącej szacowania ryzyk.• Analiza działań zaradczych i korygujących dla zidentyfikowanych ryzyk.d) Zabezpieczenia i deklaracja stosowania• Weryfikacja, czy deklaracja stosowania zabezpieczeń jest zgodna z Załącznikiem A normy ISO/IEC 27001.• Ocena skuteczności wdrożonych zabezpieczeń oraz uzasadnienia ewentualnych wyłączeń.e) Dokumentacja operacyjna• Polityki i procedury: Sprawdzenie polityk bezpieczeństwa (np. kryptografii, zarządzania dostępem, bezpieczeństwa zasobów ludzkich) i ich zgodności z wymaganiami normatywnymi.• Ewidencje i rejestry: Ocena kompletności i aktualności ewidencji aktywów, obszarów przetwarzania informacji oraz rejestrów incydentów i zgłoszeń• Zarządzanie dostępem: Sprawdzenie procedur przyznawania, zmiany i odbierania dostępu oraz zgodności z dokumentacją.f) Monitorowanie i doskonalenie SZBI• Ocena procesów monitorowania, analizy i oceny systemu w odniesieniu do zgodności z wymaganiami i celami bezpieczeństwa.• Weryfikacja raportów z monitorowania, przeglądów zarządzania i działań korygujących.• Analiza działań doskonalących, w tym ocena skuteczności realizowanych zmian.g) Zarządzanie incydentami i ciągłością działania• Ocena polityki zarządzania incydentami, w tym procedur zgłaszania, oceny i reagowania na incydenty.• Sprawdzenie planów zarządzania ciągłością działania i odtwarzania po katastrofie, w tym testów i analiz RTO, RPO, MTPD i MBCO.h) Audyty wewnętrzne• Weryfikacja programu i planów audytów wewnętrznych, w tym ocena zgodności z wymaganiami ISO/IEC 27001.• Sprawdzenie raportów z audytów wewnętrznych pod kątem ustaleń, zgodności i zaleceń.i) Zgodność z przepisami i ochroną danych osobowych• Ocena dokumentacji dotyczącej przetwarzania danych osobowych, w tym zgodności z RODO.• Weryfikacja rejestrów czynności przetwarzania danych, ocen skutków dla ochrony danych oraz testów równowagi.j) Dokumentacja operacyjna• Analiza polityk i procedur dotyczących korzystania z systemów, urządzeń i sieci.• Weryfikacja zasad postępowania z nośnikami informacji, tworzenia haseł i korzystania z Internetu oraz poczty elektronicznej.k) Zarządzanie dostawcami• Sprawdzenie polityk i procedur związanych z bezpieczeństwem informacji w relacjach z dostawcami.• Ocena zgodności działań dostawców z wymaganiami organizacji.l) Zgodność z wymaganiami prawnymi• Weryfikacja dokumentacji dotyczącej monitorowania i przestrzegania wymagań prawnych, regulacyjnych i umownych.• Analiza zgodności z politykami zgodności oraz audytami technicznymi.

ZP-III.261.108.2026.MJ